Triều Tiên khai thác 2 kỹ thuật con của MITRE: phantom DLL hijacking và lạm dụng TCC
- Tháng 4/2024, MITRE sẽ bổ sung hai kỹ thuật con vào cơ sở dữ liệu ATT&CK, đã được các tác nhân đe dọa Triều Tiên khai thác rộng rãi.
- Kỹ thuật đầu tiên liên quan đến thao túng Transparency, Consent, and Control (TCC), giao thức bảo mật quản lý quyền ứng dụng trên macOS của Apple.
- Kỹ thuật thứ hai, "phantom" DLL hijacking, là tập con ít được biết đến của DLL hijacking, lợi dụng các tệp DLL được tham chiếu nhưng không tồn tại trên Windows.
- Cả hai kỹ thuật cho phép tin tặc Triều Tiên đạt quyền truy cập đặc quyền vào môi trường macOS và Windows để thực hiện gián điệp và các hành động hậu khai thác.
- Để ngăn chặn lạm dụng TCC, điều quan trọng nhất là giữ SIP luôn bật và chỉ cấp quyền cần thiết cho ứng dụng.
- Windows tham chiếu nhiều tệp DLL không tồn tại, có thể do dự án bị gác lại hoặc thiếu tài nguyên.
📌 Tin tặc Triều Tiên đang khai thác hai kỹ thuật mới, thao túng TCC trên macOS và phantom DLL hijacking trên Windows, để đạt quyền truy cập đặc quyền và thực hiện gián điệp. MITRE sẽ bổ sung chúng vào ATT&CK tháng 4/2024. Giữ SIP bật và cấp quyền hạn chế là quan trọng để ngăn chặn lạm dụng TCC.
Citations:
[1] DPRK Exploits 2 MITRE Sub-Techniques: Phantom DLL Hijacking, TCC Abuse https://www.darkreading.com/vulnerabilities-threats/dprk-exploits-mitre-sub-techniques-phantom-dll-hijacking-tcc-abuse
Thảo luận
Follow Us
Tin phổ biến
